경제가 수축된 시점에서 주 논점은 보안 작업과 연관된 확실한 ROI(Return On Investment) 수치가 없다는 것이다. 이와 유사한 논쟁으로 생명 보험에 대해 확실히 돌아오는 게 없다는 게 있지만, 그렇다고 해서 생명 보험이 팔리지 않는 것은 아니다. 그러나 어쩌면 조직의 보안 ROI를 공식화하려는 시도는 성공 가능성이 없는 헛된 일인지도 모른다.
이와 비슷하지만, 보다 성숙한 실행 영역에서는 서로 다른 측정 표준들을 채택하고 있다. 예를 들어 기업 보안/금융 사기팀에서는 감사한 손실 통계를 산업 기준액과 비교함으로써 자신들의 효율성을 자주 측정하고 있다. 그 손실액이 산업 기준액보다 더 크다면 이들은 잘못하고 있는 것이며, 손실액이 적을 경우 이들은 평균 이상으로 잘 하고 있는 것이다. 정보 보안 업계에 이러한 데이터, 히스토리 및 방법론이 부족하긴 하지만, 현명한 지출을 통해 손실액을 줄일 수 있다는 사실은 분명하며, 역으로 태만함은 큰 비용을 물게 할 수 있다.
보안 로드맵
어떠한 큰 기술 투자를 하기 이전에는 정책 정의와 자산 확인에 중심을 둔 보안 로드 맵을 만들 필요가 있다. 강력한 정책이 없는 곳에서는 컨설턴트를 고용하거나 넷아이큐의 비질런트 폴리시 센터(Vigilent Policy Center)와 같은 보안 템플릿 툴로 시작을 수월하게 할 수 있다.
일단 기본적인 그림을 그리고 나면, 정책 준수와 베이스라인에서 얼마나 떨어져 있는지, 그리고 액세스 제어에 있어서 어떤 부분이 부족한지를 파악해야 한다. 전술적 기술 솔루션이 여기서 도움이 될 수 있지만, 이는 정당한 근거에서 적절한 순서로 적용시킬 경우에 한한다.
예를 들어, 호스트 기반 침입탐지 시스템은 그 위에 있는 HIDS 대행자가 거주하는 호스트가 패치되지 않았을 경우나 손상당하기 쉬울 경우에는 좋을 게 거의 없다. 경보가 지속적으로 발생할 것이며 호스트는 취약하여 결과적으로 HIDS를 소용없게 만들어버릴 것이다. 이런 경우에는 패치 관리를 강화하는 데 돈과 시간을 더 들이는 게 좋다. 뿐만 아니라 당신은 정치적 및 조직적인 도전에도 직면하게 될 것이다. 예를 들어 많은 조직들은 안티바이러스 시스템이 없이는 얼굴 없는 악마를 막연하게 계속 쫓아야 한다는 사실을 배워가고 있으며, 안티바이러스는 이제 간단히 결정을 내릴 수 있는‘필수품’이 되어가고 있다.
하지만 방화벽과 인라인 NIPS(Network Intrusion Prevention System) 제품을 고려할 때는 역할과 책임소재 문제가 개입된다. 예를 들어, 집중화된 보안 운영팀이 있는 조직이라면 아마도 IDS(보통 오프라인으로 배치되는)와 방화벽 관리자를 같은 팀에 둘 것이다. 따라서 인라인 NIPS 이행 결정은 쉽게 이루어진다.
그러나 NIPS 관리자가 IT 외부의 정보보안팀 소속이라면 보통은 수동적인 장비가 될 것(IDS)을 생산적 역할에 둠으로써 책임소재가 불분명해질 수 있다. 즉 NIPS를 누가 운영할 것인가? 네트워크 고장의 장애관리는 누가 맡을 것인가? 보안 직원들이 NIPS에 대한 통제권을 잃게 되는가, 아니면 방화벽 통제권을 얻게 되는가? 역할과 책임 소재는 기술보다도 더 큰 요소가 될 수도 있다. 따라서, 보안 기술을 구입하기 이전에 조직들은 다음과 같은 몇 가지 기본적인 질문을 해보아야 한다.
>> 이 기술이 보호하고자 하는 자산은 어떤 것인가?
>> 이것이 얼마나 효과적인가?
>> 운영상의 영향은 무엇인가?
>> 이것을 관리할 자원이 있는가?
>> 다른 보안 제어장치들과 함께 작동할 것인가, 아니면 충돌할 것인가?
일단 자산이 식별되고 이런 질문에 대답이 나오면, 우선순위 지정 작업을 시작할 수 있다. 다단계 방어 전략이 없다면 조직들은 중요한 디지털 자산과 위협 사이에서 통제 능력을 상실하게 된다. 다양한 보안 기술은 필수며, 문제는 이들을 선택하고 이행하는 일이다.
취약성 관리
중요하지만 종종 간과되는 한 가지 영역은 알려진 애플리케이션 및 운영시스템 취약성의 관리다. 공개되고, 종종 픽스가 있는 경우가 많은 취약성들도 아직 완화되지 않은 채 남아 있다. 패치 관리와 취약성 평가 스캐닝을 항상 철저히 하라. 취약성 평가 툴은 시스템과 인프라 자산을 보호하는 데 도움을 주며, 거의 모든 다른 기술을 보완해 준다. 효과적인 취약성 평가/패치 관리 작업은 모든 사람들을 위해 운영상의 위험을 줄여줄 것이다.
많은 취약성들이 수동 공격과 자동 공격 모두의 형태로 수 차례 조직들을 괴롭히고 있다. 예를 들어, 2001년 가장 악독했던 두 가지 웜인 코드 레드(Code Red)와 님다(Nimbda)는 패치가 있는 알려진 취약성들을 활용한 것이다. 시기 적절하게 이런 취약성을 수정한 조직이 좀더 많았더라면, 그처럼 요란스런 사태도 벌어지지 않았을 것이다.
알려진 구멍들은 또한 최고의 공격 루트 중 하나이기도 하다. PwC/인포메이션위크의 2002 글로벌 정보보안 설문조사에 따르면, ‘알려진 OS 취약성의 악용’이 41%로 공격 방법에서 최고를 차지했다. 소프트웨어 엔지니어링 인스티튜트(Software Engineering Institute)에 속해 있는 CERT 코디네이션 센터 매니저인 제프 카펜터에 따르면, 손상의 원인이 파악 가능하다면 이들 중 99% 이상은 거기에 대한 대책이 나와 있는 알려진 유형의 공격에서 비롯된다고 한다.
